Security
我應該將 TMG 作為 Hyper-V 來賓執行嗎
好的,這是一個有趣的問題。分兩部分:
- 是否建議在生產環境中將 TMG 作為 hyper-v 來賓執行?(有些事情困擾著我,這不是一個好主意,但可以讓 VM 獨占訪問 NIC,從技術上講,“主機”只是另一個具有特殊權限的來賓)。
- 如果將 TMG 作為 hyper-v 來賓執行,我應該將主機放在內部網路中還是 DMZ 足夠安全?我在這裡擔心的顯然是主機可能被認為是一個薄弱環節。DMZ 在 NAT 後面,我沒有給主機任何外部訪問權限。我只允許內部機器訪問主機。這足夠還是我應該將主機帶入內部?
或者回到第 1 點,我應該完全放棄這個想法並將 TMG 放在單獨的物理機器上嗎?(所以我撒了謊,我猜它分為 3 個部分)。
為了澄清 我的設計如下(全部在物理盒上執行)
機器 A - Hyper-V 主機無權訪問通過 Hyper-V 創建的僅 NICS 的任何主機虛擬網路。還執行(目前)具有對內部域的單向信任的 DMZ DC。和DNS / DHCP內部。僅連接到 DMZ 虛擬網路。
機器 B - TMG 訪客機器三段配置:外部連接到分配了可公開訪問 IP 的物理 NIC。內部和 DMZ 都連接到虛擬網路。防火牆規則允許機器 A 處理與內部 DC/DNS 的 AD 通信。DMZ 的物理網卡也連接到無線 AP。
機器 C-?? 內部網路服務和客戶端它們連接到內部虛擬網路,並根據具體情況授予訪問權限。
一切正常,我只是想確保使用此配置不會在我的網路中造成一些漏洞。
- 看起來微軟已經“正式”宣佈在 Hyper-V 上支持 TMG - http://www.microsoft.com/forefront/threat-management-gateway/en/us/default.aspx
- 正如塔塔斯所說。僅僅因為 TMG 在虛擬機管理程序上,所以對虛擬機管理程序本身沒有技術要求。虛擬機管理程序下的虛擬到物理 NIC 分配是將 TMG 置於正常執行配置中的唯一要求。虛擬機管理程序可以根據您對每個環境的虛擬機管理程序的“正常”部署保持不變。
只要沒有猖獗的管理程序漏洞利用,那麼執行 TMG 和類似產品就/應該和在物理硬體上一樣“安全”。
話雖如此,當涉及到解決和/或響應帶外情況(例如網路使用率峰值、管理程序問題等)時,在物理硬體上擁有外圍類型的應用程序可能具有一些操作優勢。